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Pełny zapis przebiegu posiedzenia 


Komisji 


Sprawiedliwości i Praw Człowieka (nr 10) 


16 lutego 2012 r. 


Komisja Sprawiedliwości i Praw Człowieka, obradująca pod przewodnictwem 
posła Stanisława Piotrowicza (PiS), zastępcy przewodniczącego Komisji, 


wysłuchała: 


— informacji Generalnego Inspektora Ochrony Danych Osobowych na 
temat projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie 
ochrony osób fizycznych w zakresie przetwarzania danych osobowych 

i swobodnego przepływu tych danych. 


W posiedzeniu 
wych wraz ze 


udział wzięli: Wojciech Wiewiórowski generalny inspektor ochrony danych osobo- 
współpracownikami, Katarzyna Naszczyńska sędzia w Departamencie Współpra- 


cy Międzynarodowej i Prawa Europejskiego Ministerstwa Sprawiedliwości, Adrianna Szubielska 
przedstawicielka Departamentu Prawnego Ministerstwa Spraw Wewnętrznych, Maciej Lenarcik 


przedstawiciel 


Departamentu Unii Europejskiej i Współpracy Międzynarodowej Ministerstwa Spraw 


Wewnętrznych, Wojciech Klicki przedstawiciel Fundacji Panoptykon. 


W posiedzeniu 


udział wzięli pracownicy Kancelarii Sejmu: Daniel Kędzierski, Barbara Orlińska, 


Maciej Zaremba — z sekretariatu Komisji w Biurze Komisji Sejmowych; 


Przewodniczący poseł Stanisław Piotrowicz (PiS): 


Otwieram posiedzenie Komisji Sprawiedliwości i Praw Człowieka. W porządku dzisiej- 
szego posiedzenia mamy informację Generalnego Inspektora Ochrony Danych Osobo- 
wych na temat projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie 
ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego 
przepływu tych danych. 

Bardzo serdecznie witam na dzisiejszym posiedzeniu pana ministra Wojciecha Wie- 
wiórskiego — generalnego inspektora ochrony danych osobowych wraz z osobami mu 
towarzyszącymi. Bardzo serdecznie witam przedstawicieli Ministerstwa Spraw We- 
wnętrznych, jak również Ministerstwa Sprawiedliwości. Witam sekretarzy Komisji 
Sprawiedliwości i Praw Człowieka, a nade wszystko witam panie i panów posłów. 

Drodzy państwo, dzisiejsze posiedzenie odbywa się z inicjatywy pana ministra Woj- 
ciecha Wiewiórskiego, który zechce się podzielić z Wysoką Komisją swoimi przemyśle- 
niami. Bardzo proszę o to pana ministra. 


Generalny Inspektor Ochrony Danych Osobowych Wojciech Wiewiórowski: 


Panie przewodniczący, panie i panowie posłowie. Pozwalam sobie dzisiaj zwrócić do 
państwa z pewnego rodzaju informacją dotyczącą aktu prawnego a właściwie aktów 
prawnych, które w najbliższym czasie będą rozważane na poziomie unijnym ze współ- 
udziałem parlamentu polskiego i oczywiście ze współudziałem rządu naszego kraju. 

Pozwolę sobie przedstawić tę prezentację bardzo krótko, ewentualnie będąc goto- 
wym na odpowiedzi na pytania, dlatego że ma ona charakter sygnalizacyjny. Oczywiście 
zdaję sobie sprawę z tego, że troszeczkę wyrywam się przed szereg, ponieważ zazwyczaj 
tego typu prezentację przedstawia Rada Ministrów. 

Wydaje mi się jednak, że jako organ powołany przez Sejm i odpowiedzialny przed 
Sejmem za swoje działania, mam obowiązek poinformować państwa o tym, że zdarza 
się ważne wydarzenie, które prawdopodobnie będzie procedowane przez instytucje Unii 
Europejskiej w bardzo pilnym trybie. Co więcej, jest ono prowadzone w Polsce, niejako 
tradycyjnie, przez ministrów, którzy rzadziej mają kontakt z Komisją Sprawiedliwości 
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i Praw Człowieka, choć oczywiście również współpracują z Komisją. Do tej pory zajmo- 
wało się tym Ministerstwo Spraw Wewnętrznych i Administracji. W tej chwili w jakiejś 
części zajmuje się tym Ministerstwo Spraw Wewnętrznych, w części zapewne Minister- 
stwo Administracji i Cyfryzacji. 

Ja pragnę zwrócić na to uwagę dlatego, ponieważ w ciągu najbliższego roku (2012) 
prawdopodobnie powstanie konieczność kilkukrotnych konsultacji z przedstawicielami 
naszego parlamentu w sprawie tego, w którą stronę te zmiany powinny pójść. 

Komisja Europejska przedstawiła w listopadzie 2010 r. komunikat, który dotyczył 
planu kompleksowej reformy prawa ochrony danych osobowych w UE będący częścią 
większej całości. Jak zapewne państwo pamiętacie, Komisja Europejska kilka miesięcy 
wcześniej w 2010 r. przygotowała dokument, który jest nazywany Europejską Agendą 
Cyfrową. Europejska Agenda Cyfrowa zapowiadała, że aby dotrzeć do efektów, które 
ta agenda przewiduje, trzeba po drodze dokonać zmiany systemu ochrony prywatności 
w UE zapewniając, z jednej strony łatwiejszy przepływ danych i informacji w ramach 
UE, z drugiej zaś strony zapewniając prawa obywatelom UE, ale też wszystkim oso- 
bom, które przebywają na terenie UE, bądź korzystają z usług elektronicznych, które 
są świadczone z terenu UE — zapewnić prywatność tych osób oraz ich bezpieczeństwo, 
gdyż inaczej po prostu nie będą one chciały korzystać z usług elektronicznych. Ten ko- 
munikat o całościowym podejściu do ochrony danych osobowych w UE sugerował, że 
w połowie zeszłego roku (połowa 2011 r.) pojawi się projekt nowych ram prawnych, nie 
zapowiadając, jak te ramy prawne mają wyglądać. Wiadomo było natomiast, że będą 
to nowe ramy prawne, które zastąpią dotychczasową konstrukcję datującą się tak na- 
prawdę na lata dziewięćdziesiąte, kiedy powstała dyrektywa dotycząca ochrony danych 
osobowych. 

Ten projekt opóźnił się o pół roku ku niezadowoleniu polskiego rządu i ku niezado- 
woleniu polskiego Generalnego Inspektora Ochrony Danych Osobowych, gdyż mieliśmy 
nadzieję, że prace nad nim rozpoczną się w trakcie polskiej prezydencji. Tym niemniej 
jednak — to jest moja prywatna ocena — warto było jednak czekać. To znaczy, ten ma- 
teriał, który otrzymaliśmy w styczniu od Komisji Europejskiej, jest materiałem bardzo 
dobrze przygotowanym i materiałem, który, jeżeli tak został przygotowany przez Ko- 
misję Europejską i wymagało to kilku miesięcy więcej. To dobrze, że te kilka miesięcy 
pracy zostało wykorzystane, bo moim zdaniem jest to rozwiązanie, które zostało przy- 
gotowane dobrze jak na standardy rozwiązań unijnych. 

25 stycznia bieżącego roku pani wiceprzewodnicząca Komisji Europejskiej Viviane 
Reding ogłosiła pakiet, który składa się na owe kompleksowe ramy ochrony danych 
osobowych. Pakiet składa się z dwóch dokumentów, z których dziś chciałbym państwu 
przedstawić przede wszystkim jeden. 

Od razu powiem, że istnieją dwa dokumenty. Pierwszy dokument to projekt owego roz- 
porządzenia o tym długim tytule, który widzicie państwo w tytule dzisiejszego posiedzenia 
Komisji, który jest popularnie nazywany ogólnym rozporządzeniem o ochronie danych. 

Będę się tutaj posługiwał takim określeniem — ogólne rozporządzenie o ochronie da- 
nych. Jest to wręcz zastępczy tytuł występujący w tytule dokumentu KE. 

Natomiast drugi dokument to dyrektywa dotycząca ochrony danych osobowych 
w sektorze policji oraz wymiaru sprawiedliwości w sprawach karnych czyli ogólnych 
ram, które są stworzone dla całości obiegu informacyjnego w UE, stworzono szczegól- 
ne sytuacje, kiedy państwo powinno mieć większą możliwość do samodzielnego kształ- 
towania konstrukcji ochrony danych osobowych w tych dwóch sektorach: policja oraz 
wymiar sprawiedliwości w sprawach karnych czyli najkrócej mówiąc dawny trzeci fi- 
lar UE. Natomiast w pozostałych przypadkach, kiedy mówimy o wymianie informacji 
i przetwarzaniu danych osobowych, obowiązuje owe ogólne rozporządzenie o przetwa- 
rzaniu danych osobowych. 

Teraz pozwolę sobie zwrócić państwu uwagę na kilka cech (chyba bardziej chodzi 
o cechy) niż dokładne brzmienie przepisów, które zostały zaproponowane przez KE. 
Dlaczego nie przepisów? Jest to bardzo duży dokument. Nie ukrywam. Mogę to poka- 
zać. To jest taki pakiet dokumentów, który należałoby dokładnie przestudiować. Z pew- 
nością nasza Rada Ministrów przedstawi polskie stanowisko do całego tego pakietu i do 
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obu tych dokumentów, które wchodzą w jego skład. Wtedy będzie to dobry moment do 
rozważenia wszystkich za i przeciw odnośnie do rozwiązań, które zostały zaproponowa- 
ne przez KE. 

Dzisiaj, zdając sobie sprawę z państwa ram czasowych, chciałbym tylko naszkicować 
najważniejsze cechy, które się tutaj pojawiają, bo mamy do czynienia z rewolucją. To 
trzeba sobie od razu i na początku powiedzieć. Te zmiany, które zaproponowała KE, są 
zmianami rewolucyjnymi. Spowodują one, że system ochrony prywatności w UE będzie 
wyglądał zupełnie inaczej niż wyglądał do tej pory. Również system ochrony prywat- 
ności w Polsce będzie wyglądał inaczej niż wyglądał do tej pory. Musimy być w jakimś 
stopniu na to przygotowani. Jest to ogromne wyzwanie tak dla legislatorów, jak i dla 
władzy wykonawczej, a w końcu dla sądownictwa. Tak naprawdę te trzy władze będą 
miały ręce pełne roboty. 

Pierwsza bardzo ważna cecha, na którą zwracam tutaj uwagę i która jest dość oczy- 
wista, bo wynika już z samego tytułu. Mamy do czynienia z rozporządzeniem na po- 
ziomie UE, które de facto zastępuje dyrektywę, która działała od 1995 r. To oznacza 
pełną harmonizację i w idealnym świecie brak konieczności istnienia ustawy o ochronie 
danych osobowych na poziomie krajowym z tego powodu, że najzwyczajniej w świecie 
rozporządzenie ją po prostu zastępuje. Tak do końca nie jest. 

Z tego projektu wyraźnie wynika, że harmonizacji pełnej podlegną przepisy materialne, 
natomiast przepisy proceduralne oraz przepisy dotyczące kontroli sądowej pozostawiono 
do decyzji państwom członkowskim. Uznano, że nie ma możliwości pełnego zharmonizo- 
wania procedur i nie ma możliwości pełnego zharmonizowania kontroli sądowej nad prze- 
twarzaniem danych osobowych, ale również nad decyzjami, które zapadają ze strony orga- 
nów ochrony danych osobowych. Tym niemniej, proszę państwa, KE sporą część materiału, 
również tego, który państwo otrzymaliście dzisiaj od KE, poświęciła temu, dlaczego tak się 
dzieje i dlaczego konieczne było stworzenie rozporządzenia tam, gdzie do tej pory istniały 
akty prawa krajowego. Rzeczywiście wydaje się, że z punktu widzenia swobodnej wymiany 
informacji w ramach UE, mamy do czynienia z sytuacją konieczności wprowadzenia takich 
samych rozwiązań we wszystkich krajach członkowskich. 

Uważam — to moja własna ocena — że z punktu widzenia polskich przedsiębiorców, 
jest to bardzo dobre rozwiązanie. Jest to rozwiązanie, które w doskonały sposób uła- 
twia im działanie na ogólnoeuropejskim rynku. Z tego też powodu, moim zdaniem, na 
poparcie zasługuje inicjatywa KE, aby w tym momencie stworzyć rozporządzenie, mimo 
że stanowisko rządu polskiego do komunikatu KE mówiło o tym, że wolelibyśmy dyrek- 
tywę. Nawet jeśli część tej dyrektywy miałaby przybierać kształt podobny do rozporzą- 
dzenia, to wolelibyśmy dyrektywę. 

W tej chwili — po roku — mogę powiedzieć, że te obawy, które formułował również 
GIODO wobec ewentualnego wprowadzenia rozporządzenia na podstawie tego projek- 
tu, który nam dzisiaj przedstawiono, nie sprawdziły się. To jest rzeczywiście porządnie 
przemyślany projekt, natomiast dyrektywa pozostaje tam, gdzie mówimy o trzecim fila- 
rze — o policji i wymiarze sprawiedliwości w sprawach karnych. 

Wyzwania, jakie się rodzą. Po pierwsze, proszę państwa, najpoważniejszym kłopo- 
tem, z jakim nie potrafiła sobie poradzić UE na podstawie dotychczasowych przepisów 
dotyczących ochrony danych osobowych, była kwestia jurysdykcji i prawa właściwego. 
Dwa oddzielne tematy — kto może podejmować decyzje i na podstawie jakiego prawa ta 
decyzja będzie podjęta? Pełne zharmonizowanie prawa materialnego sugerowaloby, że 
zniknie problem prawa właściwego, ponieważ prawo będzie takie samo w całej Europie. 
Tak oczywiście do końca nie będzie, dlatego że od tych zasad, które znajdują się w roz- 
porządzeniu, w prawie krajowym istnieją pewne wyjątki. 

Takim wyjątkiem na przykład w dalszym ciągu pozostanie polskie prawo pracy, któ- 
re przewiduje wyższe standardy ochrony danych osobowych niż te, które dzisiaj są prze- 
widziane w dyrektywie i w tym rozporządzeniu, na co rozporządzenie zgadza się. Roz- 
porządzenie zgadza się na to, że takie wyższe standardy mogą być ustalane sektorowo 
przez prawo krajowe i mogą być ustalane także dla tej tematyki. 

To spowoduje, że pojawi się problem jurysdykcji i wyzwania... żeby pokazać pań- 
stwu, na czym polegają wyzwania, przed którymi staniemy, jako w jakimś stopniu twór- 
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cy tego nowego porządku. Wyzwanie, jakim jest możliwość podejmowania przez organ 
administracji polskiej (np przez GIODO) decyzji administracyjnej na podstawie prawa 
obcego, np. prawa kraju, w którym jest zarejestrowany przedsiębiorca. Taka sytuacja 
istnieje już w dzisiejszym polskim prawie. Dotyczy ona choćby przepisów podatkowych 
i przepisów azylowych, ale nie była nigdy stosowana, jeśli chodzi o przepisy dotyczące 
ochrony danych osobowych. To wyzwanie jest przed nami. Tak naprawdę trzeba dopie- 
ro wymyślić w jaki sposób polski organ miałby podejmować decyzje, używając do tego 
również prawa obcego. 

Drugą kwestią, która również powoduje ogromne wyzwania i na które też trzeba 
zwrócić uwagę, są tak zwane procedury koordynacyjne (procedury spójności). Założe- 
niem rozporządzenia jest to, aby istniała zasada, która po angielsku nazywa się one stop 
shop czyli czynność dokonana przed organem w jednym kraju członkowskim UE jest 
czynnością, która wywołuje skutki we wszystkich krajach członkowskich. 

Na przykład, polski przedsiębiorca, musząc uzyskać zgodę na przetwarzanie danych 
osobowych, uzyskuje jakąś zgodę od GIODO (np. chodzi o dane zdrowotne; chciałby 
prowadzić działalność polegającą na przetwarzaniu danych zdrowotnych). Uzyskuje 
taką wstępną zgodę ze strony polskiego organu ochrony danych osobowych, a wszystkie 
26 (wkrótce 27) organów w Europie muszą uznać, że ten przedsiębiorca ma prawo dzia- 
łać na terenie całej Europy, podejmując działania, na które zgodził się polski GIODO. 
Oczywiście sprawa działa w dwie strony. 

Również polski GIODO będzie musiał uznać decyzję w tym zakresie, która zosta- 
ła podjęta przez swoich odpowiedników w innych krajach członkowskich. Do tego, aby 
te działania były spójne, przewidziane są procedury koordynacyjne skupione przede 
wszystkim wokół ciała, jakim będzie Europejska Rada Ochrony Danych Osobowych, 
która zastępuje istniejącą dzisiaj Grupę art. 29 zrzeszającą Rzeczników Ochrony Pry- 
watności. Ten organ, który już dziś istnieje i zrzesza rzeczników z całej Europy, stanie 
się jedną z części tej procedury spójności. 

Również KE przyznaje sobie w tym projekcie pewne uprawnienia — co prawda upraw- 
nienia szczególne i rzadko do wykorzystywania — w zakresie rozwiązywania sporów po- 
między rzecznikami, którzy różnie podchodzili do różnych kwestii w różnych krajach 
członkowskich, bądź interweniowania w sytuacji, kiedy jeden z rzeczników z państw 
członkowskich nie realizuje swoich obowiązków. To rzeczywiście może się zdarzyć. Ta- 
kie sytuacje niestety są też w Europie, gdzie niektóre organy ochrony danych osobo- 
wych w niektórych krajach UE ze względów choćby finansowych bądź organizacyjnych 
są mało wydolne. Tak bym to eufemistycznie określił. 

Jednocześnie jednak pojawia się jedna z wątpliwości, która z pewnością będzie pod- 
noszona, tak przez rząd polski, jak i przez komentatorów tego projektu. Otóż bardzo 
duża część rozwiązań praktycznych została przesunięta w projekcie rozporządzenia do 
aktów delegowanych UE i do środków implementacyjnych, których w tej chwili nie zna- 
my i nie wiemy, jak będą wyglądały. To jest dość ogólne pytanie, które trzeba skierować 
do KE — kiedy tak naprawdę poznamy te rozwiązania? 

Plusy, które się pojawiają i na które należy zwrócić uwagę. Przede wszystkim od- 
biurokratyzowanie procedur. Między innymi zlikwidowanie wyjątkowo rozbudowanej 
w Polsce procedury zgłaszania zbioru danych osobowych do rejestracji u GIODO. Ja 
potwierdzam, że ten system zgłaszania zbiorów nie spełnia swojej roli z tego powodu, że 
tak naprawdę nie daje on tak naprawdę przeglądu, w jaki sposób dane są przetwarzane 
na terenie naszego kraju, a jednocześnie powoduje rzeczywiste problemy administracyj- 
ne dla podmiotów przetwarzających dane osobowe, nam zaś jako biuru GIODO też on 
za bardzo nie jest potrzebny do szczęścia, bo wiele on nie pomaga. 

Czasami „śmieję się”, że najbardziej zadowoleni z istnienia tego systemu są ci pra- 
cownicy mojego biura, którzy dostają pensje za jego obsługę. To jest właściwie całość 
społeczeństwa polskiego, które jest zadowolone z instytucji zgłaszania zbiorów. Bardzo 
cieszę się z tego, że KE przechodzi do dużo rozsądniejszego rozwiązania, w którym tego 
typu działania dotyczą tylko zbiorów danych wrażliwych i tak zwanego ryzykownego 
przetwarzania danych. Nie dotyczą one natomiast danych zwykłych. 
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Bardzo charakterystycznym punktem, który pojawia się w tych propozycjach, jest 
ujednolicenie zasad wdrażania prawa przez organy ochrony danych osobowych. To tak 
bardzo mądrze brzmi. W praktyce oznacza to tyle, że systemy kar administracyjnych 
istniejących w niektórych krajach UE zostają uwspólnione dla całej UE czyli we wszyst- 
kich krajach UE będzie obowiązywał taki sam system nakładania kar administracyj- 
nych dla tych, którzy łamią zasady danych osobowych. To znowu nie jest takie novum 
w prawie europejskim, bo państwo znacie choćby takie rozwiązania w prawie ochrony 
konsumentów, prawie antytrustowym, prawie ochrony konkurencji, czy choćby w pra- 
wie telekomunikacyjnym, gdzie choćby Urząd Komunikacji Elektronicznej ma prawo 
nakładania kar administracyjnych. Tutaj można powiedzieć, że GIODO staje się bar- 
dziej regulatorem działań niż rzecznikiem, jak było do tej pory. To są bardzo wysokie 
kary, które zostały tutaj zaproponowane, sięgające 5% obrotu przedsiębiorstwa, czyli są 
one porównywalne z najwyższymi karami, jakie znajdują się w prawie telekomunika- 
cyjnym i w prawie ochrony konkurencji. To jest novum. Tego w Polsce nie było. Poza 
tym z naszych wstępnych badań wynika, że jest to pierwszy przypadek, w którym tego 
typu kary miałyby być nakładane na podstawie rozporządzenia europejskiego, a nie na 
podstawie ustaw, które byłyby wdrażane do polskiego prawa, aczkolwiek trzeba przy- 
znać KE, że ujednolicenie prawa europejskiego bez ujednolicania zasad wdrażania tego 
prawa w praktyce nie ma logicznego sensu. 

Nie można doprowadzić do sytuacji, kiedy wszyscy działamy na podstawie tego pra- 
wa, tylko że w jednych krajach nakłada się 1 milion 500 tysięcy funtów kary jak w Wiel- 
kiej Brytanii, a w innych krajach w ogóle nie ma prawa do nakładania kar. Rzeczywiście 
trzeba byłoby dokonać pewnego ujednolicenia i to ujednolicenie poszło chyba w dobrą 
stronę, mimo że mówię to jako osoba, która przed objęciem funkcji GIODO zawsze 
twierdziła, iż sytuacja, w której GIODO miałby nakładać jakiekolwiek kary administra- 
cyjne jest trudna z konstytucyjnego punktu widzenia. Mówimy o organie, który nie jest 
organem władzy sądowej. Nie jest również organem władzy wykonawczej podległym 
Radzie Ministrów (... i nie jest organem rządowym). 

W związku z tym jest to pomysł trudny, aczkolwiek przyznaję, że w tych krajach, 
gdzie takie kary są możliwe do zastosowania, ochrona wygląda dużo lepiej niż w kra- 
jach, które takich uprawnień nie mają. W Polsce sądy stwierdzają, że za pomyłki nie na- 
leży nikogo wpisywać do Krajowego Rejestru Karnego. W związku z tym bardzo rzadko 
orzekają na podstawie przepisów karnych ustawy o ochronie danych osobowych, nie 
chcąc, że tak powiem dodatkowo stygmatyzować osób, które przez przypadek naruszyły 
ustawę o ochronie danych osobowych. 

W tym momencie w innych krajach UE pojawiają się kary administracyjne może nie 
zbliżone do mandatów — to byłaby przesada — ale mające rzeczywiście charakter odstra- 
szające lub mające jednocześnie charakter prewencji ogólnej. 

Co jeszcze? Pojawia się konstrukcja obowiązkowego administratora bezpieczeństwa 
informacji. Przy pierwszym czytaniu ona może państwa zaskakiwać. Mogę powiedzieć 
tylko tyle, że w przypadku Polski ta konstrukcja na pewno nie jest odpowiednikiem 
obowiązkowego strażaka w przedsiębiorstwie, przede wszystkim z tego powodu , że ona 
jest wprowadzana w instytucjach, które i tak w dniu dzisiejszym mają administratora 
bezpieczeństwa informacji. Nie sądzę więc, żeby ona miała jakiś znaczący wpływ na 
obowiązki przedsiębiorców. Dotyczy to sytuacji, które istnieją w innych krajach człon- 
kowskich UE. 

Pojawia się również prawo do bycia zapomnianym — tak zwana zasada privacy by 
design (prywatność w fazie projektowania). 

Konieczność tworzenia ocen skutków przedsięwzięcia dla ochrony prywatności czyli 
tak zwany privacy impact assesment pry tych działaniach, które mogą być działaniami 
ryzykownymi. Przede wszystkim chodzi o sytuacje, które do tej pory nie były regulowa- 
ne jako przetwarzanie danych wrażliwych, ale tak naprawdę były to dane wrażliwe, np. 
działania dotyczące naszych finansów, czy kwestie związane z profilowaniem nas pod ką- 
tem oferowania nam później jakichś produktów bądź też pod kątem nieoferowania nam 
później jakichś produktów i dyskryminowania nas na rynku. To były działania, które do 
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tej pory bardzo często wymykały się kontroli dlatego, że nie dotyczyły danych wrażliwych 
oraz faktycznie samo działanie bardzo głęboko ingerowało w samą prywatność. 

Na zakończenie powiem tylko o generalnym kłopocie, który w tego typu aktach praw- 
nych często występuje i tutaj też mamy z tym do czynienia a mianowicie o fakcie, że jest 
to pakiet, który jest pakietem horyzontalnym czyli przecina bardzo wiele dziedzin. 

Wiele kwestii, które zostały poruszone w tym pakiecie (przede wszystkim w rozpo- 
rządzeniu), to są kwestie, które wymagają konsultacji w miejscach, w których z reguły 
nie konsultujemy aktów prawnych dotyczących sprawiedliwości i praw człowieka albo 
kwestii związanych ze sprawami wewnętrznymi bądź z administracją. 

Klasycznym przykładem jest to, że w tym rozporządzeniu mają być zdefiniowane 
dane genetyczne i dane biometryczne. Biotechnolodzy i genetycy, którzy widzieli te defi- 
nicje, które zaproponowała Komisja Europejska, mają znaczące wątpliwości odnośnie do 
tego, czy one im w czymkolwiek pomogą. Czy one w czymkolwiek pomogą w praktycz- 
nym działaniu dotyczącym danych genetycznych czy danych biometrycznych. O tym, 
że niekonsultowanie tego typu aktów ze specjalistami z tej dziedziny może prowadzić 
czasem do absurdalnych sytuacji, świadczy niestety również dzisiejsze brzmienie usta- 
wy o ochronie danych osobowych. Dzisiejsze brzmienie ustawy o ochronie danych oso- 
bowych przewiduje takie brzmienie danych osobowych, w których danymi wrażliwymi 
są dane dotyczące kodu genetycznego. Każdy genetyk, który widzi ten zapis mówi, że 
jest on absolutnie postawiony na głowie. Kod genetyczny to jest układ aminokwasów. 
To jest określenie, który aminokwas z którym aminokwasem się łączy i co ewentualnie 
może kodować. To jest tak, jakbyśmy ochronie poddali alfabet a nie informację zapisaną 
tym alfabetem. W związku z tym to genom powinien podlegać ochronie a nie kod gene- 
tyczny. Kod genetyczny jest znany od lat pięćdziesiątych i nic się w nim nie zmieniło. 
W żaden sposób nie jest on tajny. Przy rozważaniu wielu kwestii, które dotyczą tego 
pakietu należałoby odwołać się do wiedzy specjalistycznej z dziedzin, które czasami są 
bardzo odległe od tego, czym się dzisiaj zajmujemy. 

Dosłownie w ostatnim zdaniu pozwolę sobie wspomnieć, że ten akt prawny jest 
wprost powiązany z innymi działaniami, które w tej chwili są prowadzone w naszym 
parlamencie bądź też będą prowadzone w naszym parlamencie w najbliższym czasie, 
dotyczącymi na przykład takich kwestii, jak inteligentne sieci energetyczne, gdzie w tej 
chwili Prawo energetyczne znajduje się w fazie konsultacji społecznych i za chwilę trafi 
do państwa jako projekt rządowy dotyczący właśnie inteligentnych sieci energetycznych 
i inteligentnych mierników. 

Kwestia wideonadzoru, która ma zostać uregulowana w najbliższym czasie. Ta pro- 
pozycja ma być przygotowana przez rząd. 

Kwestia profilowania, kwestia biometrii, kwestia właśnie danych genetycznych, kwe- 
stia geolokalizacji usług przestrzennych, kwestia przetwarzania danych w chmurach 
obliczeniowych czyli tzw. modelu cloud computing, czy też wciąż powracająca kwestia 
danych pasażerów linii lotniczych i danych pasażerów statków morskich, gdzie skądi- 
nąd wiemy, że na poziomie polskim jest w tej chwili przygotowywany projekt ustawy, 
która ma również regulować podobne kwestie trochę inaczej niż one są uregulowane 
w prawie UE. 

Po merytorycznym zakończeniu pozwolę sobie poprosić państwa o to, żebyście pań- 
stwo pamiętali o tym, że ten pakiet, który prawdopodobnie będzie szybko procedowany 
w ramach instytucji unijnych, jest pakietem, który stworzy podstawy przetwarzania 
informacji w Europie na najbliższych kilkanaście lat o czym świadczy fakt, że zastępuje 
on dyrektywę z roku 1995 czyli tak, jak już podkreślałem na posiedzeniach tej Komisji, 
dyrektywę, która została przygotowana tak naprawdę jeszcze przed czasami interneto- 
wymi. Była ona pisana w latach 1993-1994 czyli tak naprawdę nie tylko nie było sieci 
społecznościowych, ale nie było nawet world wide webu. Był to zupełnie inny Inter- 
net niż ten, o którym mówimy dzisiaj niemający wiele wspólnego z naszym dzisiejszym 
działaniem, a mimo wszystko ten akt prawny utrzymał się przez 17 lat. Ten akt, który 
zostanie uchwalony w najbliższym czasie, prawdopodobnie zostanie uchwalony przez 
UE, będzie prawdopodobnie do okolic roku 2035 (być może do 2040 r.) podstawą do 
przetwarzania informacji w UE. 
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Zawsze to podsumowuję, mówiąc do swoich pracowników, że moja kadencja jako 
GIODO wynosi tylko 4 lata, zaś dla nich jest to prawdopodobnie akt prawny, którym 
będą operować do końca swojego życia zawodowego jeśli zwiążą je z ochroną danych 
osobowych. Jeżeli teraz nie uda nam się stworzyć bardzo dobrych podstaw, to będziemy 
mieli z tym potężny kłopot. 

Jeszcze raz powtarzam, że praca KE została bardzo dobrze wykonana. Nawet jeżeli 
mamy wątpliwości w niektórych przypadkach do niektórych przepisów, szczególnie jeśli 
chodzi o ich jakby niedokończenie albo nieprecyzyjność, to pakiet ten zasługuje na cie- 
płe przyjęcie nawet jeśli będziemy mieli do niego krytyczny stosunek. 

Dziękuję, panie przewodniczący. Przepraszam, że tradycyjnie się rozgadałem, ale to 
jest, tak jak zawsze mówię, przypadłość osób, którym ustawa nakazuje wykonywanie 
zawodu nauczyciela akademickiego, który wykonywałem przez parę lat. 


Przewodniczący poseł Stanisław Piotrowicz (PiS): 


Serdecznie dziękuję panu ministrowi. Po pierwsze, dziękuję za inicjatywę zwołania dzi- 
siejszego posiedzenia, ale również za bardzo obszerne, wnikliwe i profesjonalne przed- 
stawienie tematu. Tak się akurat składa, że pan minister prezentował to obszernie, 
ale w tak interesujący sposób, że wszyscy z zainteresowaniem słuchali tego, jak pan to 
określił, akademickiego wykładu. Chcę również przeprosić za zniekształcenie nazwiska. 
Proszę wybaczyć. 

Proszę bardzo, pan przewodniczący. Proszę bardzo. 


Poseł Jerzy Kozdroń (PO): 


Panie przewodniczący, panie ministrze, miałbym do pana pewne pytania, żeby pan jako 
specjalista w zakresie ochrony danych osobowych spróbował nam to bliżej rozjaśnić. 
Wiadomo, że rozporządzenie KE i Rady UE jest prawem europejskim wspólnotowym 
wtórnym ito, że takie rozporządzenie, jak już się wypowiedział Trybunał Konstytu- 
cyjny, podlega kontroli konstytucyjnej pod kątem zgodności z Konstytucją RP W tym 
zakresie to jest pewność, bo mamy to już za sobą. Wiemy również, że rozporządzenie 
z chwilą opublikowania w polskim publikatorze (dzienniku urzędowym) staje się pra- 
wem wewnętrznym bez konieczności implementowania przepisów wspólnotowych do 
prawa krajowego. Staje się niejako prawem krajowym. 

W związku z tym powstaje pytanie. Rozporządzenie stawia pewne standardy mini- 
malne w swoim założeniu, które mają przestrzegać wszystkie kraje członkowskie UE. 
Tutaj jest pytanie — czy aktualnie obowiązująca w naszym porządku prawnym ustawa 
o ochronie danych osobowych stawia wyższe wymagania wobec tego projektowanego 
rozporządzenia — być może w niektórych zakresach — i w związku z tym, jaka w tym 
momencie będzie relacja ustawy do tego rozporządzenia? To tyle. 


Przewodniczący poseł Stanisław Piotrowicz (PiS): 


Bardzo proszę. 


Poseł Robert Kropiwnicki (PO): 


Jeśli można... 


Przewodniczący poseł Stanisław Piotrowicz (PiS): 


Bardzo proszę, panie pośle. 


Poseł Robert Kropiwnicki (PO): 


Panie ministrze, rzeczywiście pan przewodniczący Kozdroń poruszył to, o co chciałem 
zapytać. Później sformułuję dodatkowe pytania. 

Mam pytanie w zakresie rejestracji zbiorów — jeśli w świetle naszej ustawy mamy 
zbiory administrowane przez przedsiębiorców iinne podmioty, a pewnym rozwiąza- 
niem wprowadzimy inną regulację, to jak się to będzie miało? Czy będziemy musieli to 
skasować bądź też w jakiś sposób ujednolicić? 

Prawdą jest — podzielam pogląd pana ministra — że obecny system rejestrowania 
zbiorów danych osobowych przechowywanych przez przedsiębiorców lub inne podmioty 
jest po prostu nieżyciowy i w większości przypadków jest niestety martwy. Być może ten 
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unijny będzie bardziej życiowy i pozwoli na to, aby te zbiory były faktycznie rejestrowa- 
ne. Nie będzie wtedy udawania, że się nie ma tych zbiorów. Dziękuję bardzo. 


Przewodniczący poseł Stanisław Piotrowicz (PiS): 


Bardzo proszę, panie ministrze. 


GIODO Wojciech Wiewiórowski: 


10 


Dziękuję bardzo. To jest faktycznie bardzo ważne pytanie dotyczące tego pakietu, tak 
więc pozwoliłem sobie rozpocząć przedstawianie tej kwestii od tego, że mamy do czynie- 
nia z rozporządzeniem. Oczywiście jest to akt prawa wtórnego i nie chcę się wypowiadać 
na temat możliwości jego kontroli przez TK. TK, jak państwo wiecie, wyraził swoje sta- 
nowisko w tej sprawie, aczkolwiek nie jest ono tak absolutnie precyzyjne, że każdy akt 
prawa wtórnego może podlegać kontroli zgodności z całością Konstytucji RP jako takiej. 
Tak naprawdę jest to rozwiązanie nieco zbliżone do tego słynnego niemieckiego orzecze- 
nia Zolange, które odnosiło się... Tam, gdzie dotyczy to wolności i praw obywatelskich, 
niewątpliwie TK przewidział kontrolę. 

Co do kwestii obowiązywania, to proszę pamiętać, że w przypadku rozporządzenia 
a ściślej mówiąc — norm wynikających z rozporządzenia, mamy do czynienia z trzema 
bardzo podobnymi, ale jednak oznaczającymi różne rzeczy sformułowania. Otóż rozpo- 
rządzenie jest rzeczywiście bezpośrednio obowiązujące czyli wchodzi do systemu praw- 
nego tak, jak powiedział pan przewodniczący, bez potrzeby implementacji ani inkorpo- 
racji... po prostu, albo w 20 dni po jego ogłoszeniu albo w dacie wyznaczonej w samym 
rozporządzeniu. Wtedy zacznie ono obowiązywać. W przypadku tego rozporządzenia 
prawdopodobnie będzie dwuletnie vacatio legis, w którym poszczególne przepisy będą 
wchodziły w życie. 

Mamy też cechę, jaką jest bezpośrednia stosowalność, czyli to, że każdy organ pu- 
bliczny musi powoływać się wprost na rozporządzenie w wydawanym przez siebie decy- 
zjach lub w orzeczeniach. To nie jest tylko akt skierowany do trybunałów i GIODO, ale 
również do każdego innego organu istniejącego w państwie. 

Wreszcie najważniejsza rzecz, która odróżnia rozporządzenie od dyrektywy i odróż- 
nia ze względu na faktyczny wymiar — jest to bezpośredni skutek. Bezpośredni skutek 
(albo bezpośrednia skuteczność) polega na tym, że każdy, w tym podmioty prywatne 
i osoby fizyczne, mogą wyciągać z rozporządzenia normę i stosować tę normę przeciwko 
każdemu: przeciwko państwu i przeciwko innemu podmiotowi na rynku. 

Tak jak w przypadku dyrektywy można to było robić tylko przeciwko państwu, tak 
teraz państwo może to robić przeciwko obywatelowi, obywatel przeciwko państwu, oby- 
watele między sobą, pracodawca przeciwko pracownikowi, pracownik przeciwko praco- 
dawcy, przedsiębiorca przeciwko przedsiębiorcy itd. 

Moim zdaniem, oznacza to, że w zakresie w jakim rozporządzenie przewiduje inne 
rozwiązania niż rozwiązania znajdujące się w polskiej ustawie o ochronie danych osobo- 
wych, sens istnienia polskiej ustawy o ochronie danych osobowych znika. Nie ma powo- 
du, dla którego miałaby ona pozostać w polskim systemie prawnym, bo i tak nie będzie 
stosowana ze względu na prymat prawa europejskiego nad przepisami ustawy. 

Dlatego też jestem przekonany, że do czasu wejścia w życie rozporządzenia trzeba 
będzie wydać nową ustawę o ochronie danych osobowych, która będzie zawierać tylko 
te części, których nie zostaną zharmonizowane czyli na przykład procedury i kontrolę 
sądową. 

Pozostawienie jakichkolwiek innych części w generalnej ustawie o ochronie danych 
osobowych moim zdaniem — może trochę przesadzam — po prostu nie ma najmniejszego 
sensu. Natomiast jest możliwość ustanowienia wyższych standardów ochrony, z tym że 
te wyższe standardy ochrony muszą być albo sektorowe albo muszą dotyczyć pewnego 
ograniczonego zastosowania, jak choćby kodeks pracy. 

Pozostanie możliwość zastosowania wyższego standardu w kodeksie pracy. Pozosta- 
nie możliwość zastosowania wyższego standardu w jakimś sektorze, na przykład w sek- 
torze medycznym czy też w sektorze bankowym. Jeśli chodzi o ogólną ustawę o ochronie 
danych osobowych, moim zdaniem pozostanie tylko możliwość wydawania przepisów 
dotyczących działania organów ochrony danych osobowych i kontroli sądowej a nie pra- 
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wa materialnego. To też oznacza, że w przypadku istniejącego obecnie systemu rejestra- 
cji zbioru danych osobowych on w oczywisty sposób musi zniknąć z ustawy. 

Nie może być tak, że my przewidujemy inny sposób rejestracji niż ten, który jest 
proponowany w rozporządzeniu, aczkolwiek w tym przypadku — przyznaję — rozporzą- 
dzenie nie daje stuprocentowo precyzyjnych przepisów. Mówi czego nie wolno robić i co 
wolno robić, natomiast tak naprawdę trzeba będzie znów wpisać ewentualne procedury 
do tej naszej ustawy. Tam rejestracja będzie cały czas potrzebna. Ona nie nazywa się 
„rejestracja”, ale pozostańmy przy tym sformułowaniu (np. w sytuacji, kiedy zechcemy 
przetwarzać dane wrażliwe). 

Co do martwości systemu rejestracji zbiorów danych osobowych, to ja przyznam, 
że do ostatniego roku miałem takie samo zdanie jak pan poseł. Od razu uprzedzając 
sprawozdanie, które jeszcze nie wpłynęło do Sejmu — co prawda w piątek prezentuję 
sprawozdanie, ale za rok 2009 i 2010 — mogę powiedzieć, że liczba zbiorów zgłoszonych 
do rejestracji w roku 2011 wzrosła o 89% w stosunku do 2010 r. Mamy prawie dwa razy 
więcej zbiorów, które zostały zgłoszone w roku 2011... To jest 15 tysięcy zbiorów rocz- 
nie. Ja oczywiście zgadzam się z tym, że to na pewno nie są wszystkie zbiory, które 
w Polsce powstały, natomiast coś się zdarzyło. 

Ocenie trzeba będzie poddać, co tak naprawdę się zdarzyło, że nagle w okresie kry- 
zysu, gdzie podobno gospodarka nie rozwija się tak bardzo, mamy dwukrotny wzrost 
liczby zbiorów, które są zgłaszane. Albo zwiększyła się świadomość społeczna, albo też 
przepisy, które weszły w marcu zeszłego roku w jakimś stopniu postraszyły tych, którzy 
do tej pory nie zgłaszali zbiorów, choć żeby było śmieszniej, akurat w tych przepisach 
marcowych nie było dodatkowych kar za niezgłaszanie zbioru do rejestracji. Mam na- 
dzieję, że w jakimś stopniu odpowiedziałem na państwa pytania. 


Przewodniczący poseł Stanisław Piotrowicz (PiS): 


Dziękuję bardzo. Czy ktoś z państwa chciałby jeszcze zabrać głos? Bardzo proszę, panie 
pośle. 


Poseł Robert Kropiwnicki (PO): 


Dziękuję za tę odpowiedź. Mam taką refleksję, że jak już przedsiębiorcy nauczyli się, że 
trzeba rejestrować te dane, to zlikwidujemy ten przepis. Może zastąpimy to czymś in- 
nym. Dziękuję panu ministrowi za inicjatywę w przedmiocie tego posiedzenia i porusze- 
nia tego tematu, bo myślę, że jest to temat bardzo obszerny i bardzo rozwojowy w naj- 
bliższych latach — niedoceniany na niwie dyskusji publicznej, ale także w parlamencie. 

Myślę, że bardzo dobrze byłoby, gdyby nasza Komisja wyspecjalizowała się w ochro- 
nie danych osobowych i w dyskusji na ten temat. 

Myślę, że właśnie ten pakiet zmian będzie okazją do tego. Chciałem się jeszcze zapy- 
tać pana ministra o dwie rzeczy. Kiedy pan spodziewa się, że to rozporządzenie unijne 
się pojawi i kiedy my powinniśmy być gotowi z naszą nowelizacją ustawy o ochronie da- 
nych osobowych. To jest pierwsze pytanie. Drugie pytanie dotyczy tego zespołu europej- 
skich inspektorów — pańskich odpowiedników w krajach UE. Czy wszystkie instytucje 
będą w miarę ujednolicały procedury i czy rzeczywiście ta współpraca pomiędzy tymi 
instytucjami będzie kompatybilna i przyjazna dla użytkowników w zakresie orzecznic- 
twa i podejmowania decyzji w różnych obszarach? Dziękuję. 


Przewodniczący poseł Stanisław Piotrowicz (PiS): 


Dziękuję. Bardzo proszę, panie ministrze. 


GIODO Wojciech Wiewiórowski: 


Rozpoczne od pierwszego pytania, czyli od pytania „kiedy?” Mogę tylko przewidywać. 
Patrząc w dokumenty, które zostały zaprezentowane przez KE widzę, że KE zakłada 
wydatki budżetowe związane z wprowadzeniem tego nowego systemu i ewentualną 
przebudową instytucji albo wprowadzeniem nowych systemów teleinformatycznych od 
roku 2014, co sugerowałoby, że KE przewiduje, iz to rozporządzenie zacznie działać jako 
obowiązujący akt prawny od 2014 r. Oczywiście, czy to jest na pewno możliwe, szcze- 
gólnie w sytuacji, kiedy już mamy półroczne opóźnienie? Trudno jest mi decydować, 
szczególnie na tym etapie. 
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Myślę, że w ciągu najbliższych 3 tygodni (może miesiąca) dowiemy się, jakie jest ge- 
neralne stanowisko państw członkowskich na temat rozporządzenia. Wtedy będziemy 
w stanie powiedzieć, czy mamy jakiś front oporu przed tym rozporządzeniem po stronie 
państw członkowskich, co sugerowałoby, że prace nad tym rozporządzeniem będą co 
najmniej trudne, czy też mamy front entuzjastów, którzy od razu będą chcieli podpisać 
odpowiedni akt prawny w co oczywiście nie do końca wierzę, ale co też może się zda- 
rzyć. Myślę, że rok 2014 to jest najwcześniejsza data. Patrząc na kalendarze ustalone 
przez KE, wprowadzenie tego aktu w życie później niż w 2015 r. sugerowałoby, że KE 
już powinna przyznawać się, że już nie wypełni agendy cyfrowej i że agenda cyfrowa nie 
zostanie zrealizowana. 

Jeżeli chodzi oto współdziałanie między organami ochrony danych osobowych 
i o uwspólnianie ich procedur... organy ochrony danych osobowych w UE bardzo różnią 
się od siebie, natomiast niespecjalnie różnią się w ramach tego, co nazywamy ochroną 
danych osobowych. Otóż w wielu krajach UE istnieją organy, które zajmują się ochroną 
informacji. Mają one znacznie szerszy zakres działania niż polski GIODO. Najczęściej 
są odpowiedzialne również za dostęp do informacji publicznej oraz ponowne przetwa- 
rzanie informacji z sektora publicznego. Często odpowiedzialne są także za informację 
niejawną. Często odpowiedzialne są również za kontrolę nad służbami specjalnymi. 

W Polsce, jak mówię, mamy tylko organ ochrony danych osobowych. Nie mamy osob- 
nych istniejących organów odnośnie do tych pozostałych elementów. Także GIODO nie 
przyznano takich uprawnień. 

Mogę więc powiedzieć, że procedury są bardzo zbliżone, jeśli chodzi o ochronę da- 
nych osobowych. Natomiast prawdą jest, że te organy bardzo różnią się od siebie, po- 
nieważ często zajmują się innymi zagadnieniami. Procedury uwspólniające i procedury 
spójności są przez nas — rzeczników ochrony danych osobowych w UE — uznawane za 
najważniejsze wyzwanie przed jakim stoimy. To znaczy, musi być tak, że każdy konsu- 
ment informacji, chcąc złożyć skargę, może złożyć tę skargę u swojego rzecznika ochro- 
ny danych osobowych w swoim kraju, z drugiej strony musi być tak, że przedsiębiorca 
działa z terenu swojego kraju członkowskiego, co oznacza, że współpraca między tym 
organem, u którego została złożona skarga a tym organem, z którego kraju pochodzi 
przedsiębiorca, jest absolutnie niezbędnym minimum do działania, jednocześnie pod 
pewną kontrolą ze strony owej Europejskiej Rady Ochrony Danych. 

Podam praktyczny przykład tego, jak próbujemy się do tego przygotować. Część 
z państwa zapewne wie, że firma Google ogłosiła nową politykę prywatności, która ma 
zacząć obowiązywać od 1 marca bieżącego roku. Rzecznicy ochrony danych osobowych 
postanowili: „nie będziemy wydawali 27 opinii na temat polityki prywatności Google, 
które w 27 krajach będą statuowały 27 sposobów działania Google'a, bo to po prostu 
nie ma najmniejszego sensu; w związku z tym przygotujmy wspólną opinię 27 krajów”. 
Taka wspólna opinia ma zostać przygotowana do 1 marca. 

Co prawda, zasugerowaliśmy Google, aby przesunął datę wprowadzenia tej polityki 
prywatności tak, abyśmy na pewno doprowadzili do tego, że będzie jedna opinia, która 
im pomoże, ale z drugiej strony, że będzie to naprawdę przestudiowana opinia. W ciągu 
tych najbliższych pozostałych nam dwóch opinii chcemy doprowadzić do przygotowania 
opinii 27 krajów jednocześnie. 

Wyznaczyliśmy organ, który jest tutaj organem wiodącym. Jest to francuski organ 
— Krajowa Komisja ds. Ochrony Informacji i Wolności... pan dyrektor podpowiada mi... 
tzw. CNIL. Ona jest instytucją wiodącą. Polski GIODO jest jednym z 5 organów wspo- 
magających bezpośrednio CNIL w przygotowaniu tej opinii. Powiedziałbym, że to jest 
taki duży przykład. 

Odczuwamy, że największym problemem, z którym musimy sobie poradzić, są te 
małe sprawy, a więc indywidualne osoby zgłaszające skargi dotyczące przedsiębiorcy, 
który działa poza terenem naszego kraju oraz sytuacja przedsiębiorcy, który chciałby 
działać na rynku całej UE. 

Podam znowu drugi przykład czegoś, co jest dla mnie jako GIODO w Polsce prze- 
szkodą. Otóż istnieje taka koncepcja jak wiążące reguły korporacyjne. Wiążące reguły 
korporacyjne to jest pewien kodeks działania przyjmowany wewnątrz dużej korporacji 
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międzynarodowej zapewniający odpowiednią ochronę danych osobowych. W Europie 
w wielu krajach przyjęto już rozwiązanie wzajemnego uznawania tego typu kodeksów. 
Jeżeli jeden z organów ochrony danych osobowych zdecyduje, że ta korporacja prawidło- 
wo chroni dane osobowe, to inne organy ochrony danych osobowych podporządkowują 
się takiej decyzji. Ja jako GIODO nie mogę tego zrobić w Polsce a bardzo bym chciał. 
Naprawdę wierzę moim francuskim i irlandzkim kolegom, że oni prawidłowo ocenili te 
korporacje i bardzo chciałbym, żebym mógł w taki sam sposób oceniać polskie korpora- 
cje i powodować, żeby mogły one spokojnie działać na terenie całego świata. 

Problem jest bardzo prosty — jako organ administracji publicznej w Polsce mogę 
działać tylko na podstawie prawa i tylko w granicach przepisów prawnych, jak to mówi 
art. 7 Konstytucji RP Ani w prawie polskim, ani w prawie europejskim nie ma w tej 
chwili żadnych przepisów o wiążących regułach korporacyjnych, w związku z czym ja 
nie mam podstaw, na bazie których mógłbym uznawać decyzje moich zagranicznych 
kolegów i jednocześnie dawać im możliwość uznawania moich własnych decyzji. Tego 
mi brakuje. To daje mi rozporządzenie. 

Rozporządzenie w tym zakresie pokazuje krótsze drogi do rozwiązania problemów 
takich, jak problemy z cloud computingiem czyli właśnie przetwarzaniem danych 
w chmurach obliczeniowych. Ta kwestia dotycząca wiążących reguł korporacyjnych jest 
bardzo dobrym narzędziem. 


Przewodniczący poseł Stanisław Piotrowicz (PiS): 


Dziękuję bardzo panu ministrowi. Czy ktoś z państwa chciałby jeszcze zabrać głos? Bar- 
dzo proszę, panie pośle. 


Poseł Borys Budka (PO): 


Dziękuję, panie przewodniczący. Panie ministrze, ja tylko w takiej kwestii dosyć szcze- 
gółowej, która jednak porusza opinię publiczną w różnych krajach europejskich. 

Wspomniał pan, że projektowane rozporządzenie PE i Rady UE będzie również re- 
gulować kwestię „prawa do zapomnienia danych”. Czy to będzie obejmowało również 
kościoły i związki wyznaniowe? To jest problem wychodzący poza kwestię administra- 
cyjną. Procesy hiszpańskie i portugalskie, które tam były... tamte orzeczenia... Z tej 
informacji, którą tutaj mamy przed sobą wynika, że ,,... w szczególności portale społecz- 
nościowe”, ale rozumiem, że dotyczy to też wszystkich innych administratorów danych. 
To wszystko ma być ujednolicone i pojawia się to prawo do zapomnienia danych również 
w tym aspekcie — bardzo kontrowersyjnym z punktu widzenia chociażby kodeksu kano- 
nicznego czy też innych przepisów wyznaniowych. Dziękuję. 


GIODO Wojciech Wiewiórowski: 


Dziękuję bardzo za to pytanie. Pytanie jest w sumie dużo szersze niż kwestia prawa do 
bycia zapomnianym. Można powiedzieć, że prawo do bycia zapomnianym obowiązu- 
je wszystkich tych, których obowiązuje rozporządzenie jako całość. Pytanie natomiast 
brzmi, na ile rozporządzenie będzie się odnosiło do owych szczególnych organizacji, 
jakimi są kościoły i związki wyznaniowe. 

Proszę pamiętać, że obok art. 16 w Traktacie o funkcjonowaniu Unii Europejskiej, 
który mówi właśnie o prawie do ochrony danych osobowych, znajduje się art. 17 (arty- 
kuł po artykule), który mówi o tym, że to państwa członkowskie decydują o tym, jakie są 
zasady działania kościołów i związków wyznaniowych na ich terytorium, co też rozpo- 
rządzenie uznaje, uznając, iż art. 17 umożliwia państwom członkowskim wprowadzenie 
odrębnych zasad dla kościołów i związków wyznaniowych. Dalej przy danych wrażli- 
wych mamy tylko przepisy o przetwarzaniu danych osobowych przez kościoły i związki 
wyznaniowe. Można więc powiedzieć, że całość decyzji, co do tego, czy rozporządzenie 
będzie dotyczyło kościołów i związków wyznaniowych, czy też nie będzie ich dotyczyło, 
zależy od ustrojodawców i ustawodawców w poszczególnych krajach. Tak. Może to jest 
trochę upraszczające stwierdzenie, bo wciąż pozostaje zasada, że ewentualne wyłącze- 
nia w przypadku kościołów i związków wyznaniowych mogą dotyczyć tylko członków 
kościołów i związków wyznaniowych czyli tylko tych osób, które należą do kościołów 
i związków wyznaniowych, natomiast tego typu wyłączenia mogą się pojawić. 
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Na podstawie dzisiejszej sytuacji istniejącej w Europie mogę powiedzieć, że są kraje, 
które to wprowadzają i są kraje, które tego nie wprowadzają. To zależy od ustroju pań- 
stwa członkowskiego. Nasz kraj ma tutaj wyłączenia i to wyłączenia bardzo daleko idą- 
ce, aczkolwiek nie jest jakimś dramatycznym wyjątkiem w stosunku do innych krajów. 
Niewątpliwie ta dyskusja powróci właśnie w momencie, kiedy będziemy decydowali, co 
w ustawie o ochronie danych osobowych może wciąż pozostać a co nie. 


Przewodniczący poseł Stanisław Piotrowicz (PiS): 


Dziękuję bardzo. Wobec faktu, że nie widzę już chętnych do zabrania głosu, jednocze- 
śnie wobec wyczerpania porządku posiedzenia zamykam posiedzenie Komisji Sprawie- 
dliwości i Praw Człowieka. Jeszcze raz bardzo serdecznie dziękuję panu ministrowi za 
inicjatywę zwołania dzisiejszego posiedzenia i za bardzo interesujące przedstawienia 
problematyki. To nie długość a jakość wykładu decyduje o ocenie a ta wypadła — myślę 
— ku zadowoleniu nas wszystkich. Serdecznie dziękuję panu ministrowi i wszystkim 
towarzyszącym gościom. Dziękuję paniom i panom posłom oraz przedstawicielom se- 
kretariatu Komisji Sprawiedliwości i Praw Człowieka. 


GIODO Wojciech Wiewiórowski: 


Chciałbym wszystkim państwu podziękować za czas i uwagę poświęconą temu zagad- 
nieniu. 


Przewodniczący poseł Stanisław Piotrowicz (PiS): 
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Dziękuję bardzo. 


